Messenger und Schatten-IT: Die Risiken

Was ist Schatten-IT?

Als «Schatten- IT» (engl. «Shadow IT») wird Hard- und Software bezeichnet, die Mitarbeiter abseits der offiziellen IT-Infrastruktur eines Unternehmens für geschäftliche Zwecke einsetzen. Diese Lösungen dürfen eigentlich nicht im Unternehmen verwendet werden, da sie von der IT-Abteilung weder getestet noch freigegeben wurden. Ein weit verbreitetes Beispiel für Schatten-IT ist die Kommunikation mit Arbeitskollegen und Unternehmenskunden über private Messenger-Dienste wie WhatsApp. Schatten-IT kann bei einzelnen Mitarbeitern oder bei ganzen Abteilungen etabliert sein.

Typische Beispiele:

• Software:
  • Nutzung privater Instant Messenger (z.B. WhatsApp oder Telegram) für die Kommunikation
  • Verwendung nicht vom Unternehmen freigegebener Cloud-Diensten (z.B. Google Drive oder OneDrive) zur Bearbeitung und Speicherung von Dokumenten
  • Nutzung inoffizieller Videochat-Plattformen (z.B. Zoom oder MS Teams) zur Durchführung von Videokonferenzen
  • Einsatz privater Filesharing-Dienste (z.B. Dropbox oder iCloud Drive) zum Teilen von Dokumenten
  • Verwendung privater E-Mail-Konten für die geschäftliche Kommunikation
• Hardware:
  • private Smartphones
  • private Laptops

Warum nutzen viele Mitarbeiter Schatten-IT?

Eine Ursache von Schatten-IT ist die steigende Anzahl an Cloud-Diensten, Software-as-a-Service-Angeboten und privaten Messenger-Diensten, auf die Angestellte schnell und einfach zugreifen können und deren Handhabung aus dem Privatgebrauch bekannt ist. Sobald Prozesse im beruflichen Alltag nicht reibungslos ablaufen und die Hilfe der IT-Abteilung nicht greifbar ist, suchen Mitarbeiter nach eigenen Wegen zur Lösung ihrer IT-Probleme.

Auch die Arbeit im Homeoffice begünstigt das Aufkommen von Schatten-IT. Privat nutzen Angestellte unter Umständen Software, die hinsichtlich Sicherheit und Datenschutz bedenklich ist. Die Corona-Pandemie hat für eine weitere Zunahme an unkontrollierter IT in Unternehmen gesorgt.

Die Risiken privater Messenger-Apps im Unternehmen

Aus der Nutzung privater Chat-Apps wie z.B. WhatsApp oder Telegram erwachsen erhebliche Risiken für Unternehmen.

Mangelhafter Schutz von Unternehmensdaten

Bei der Verwendung privater Messenger für berufliche Zwecke landen vertrauliche Informationen oft ungeschützt in den Händen privater IT-Dienstleister. Nicht einmal moderate Sicherheitsanforderungen werden so erfüllt, und interne Firmendaten können leicht nach aussen gelangen.

Ausserdem unterliegen viele Chat-Apps dem amerikanischen Datenschutzgesetz, welches nicht mit der DSGVO vereinbar ist, denn Dienste mit Sitz in den USA müssen den dortigen Geheimdiensten Zugang zu Kundendaten gewähren. Die Nutzung von Chat-Diensten aus den USA stellt daher ein Datenschutzrisiko dar.

Fehlende Administrierbarkeit bei privaten Messengern

Nicht nur, was das Datenschutz-Niveau betrifft, sind private Instant Messenger für geschäftliche Zwecke ungeeignet. Auch hinsichtlich der Nutzer-Administration genügen sie den Anforderungen von Unternehmen in keiner Weise. Zum Beispiel lassen sich private Chat-Apps weder für die Mitarbeiter vorkonfigurieren, noch können Funktionseinschränkungen vorgenommen werden. Weiter besteht bei Mitarbeiter-Abgängen keine Möglichkeit, den Zugriff auf die App und die enthaltenen Unternehmensdaten zu entziehen. So zirkulieren geschäftliche Inhalte ungehindert in der privaten Sphäre ehemaliger Angestellter.

Weitergabe von Kundendaten durch Schatten-IT

Setzen Mitarbeiter WhatsApp als Messenger für die Kommunikation mit Kunden oder Arbeitskollegen ein, leiten Sie die Kontaktdaten ohne Zustimmung der Beteiligten an WhatsApps Mutterkonzern Facebook weiter, wo die Informationen zu Marketingzwecken verwendet werden können.

Schatten-IT vermeiden: Internen Messenger anbieten

Weil die Nutzung privater Messenger im Arbeitsumfeld weitreichende Datenschutzprobleme darstellt und erhebliche Sicherheitsrisiken mit sich bringt, sind Unternehmen gut beraten, einen firmeninternen Messenger für die Belegschaft bereitzustellen. Nur so lässt sich vermeiden, dass Angestellte auf unsichere Chat-Apps zurückgreifen, welche nicht die geltenden Datenschutzrichtlinien erfüllen. Die Kommunikation via Instant Messaging steigert durch den schnellen und unkomplizierten Informationsaustausch die Effizienz kommunikativer Arbeitsprozesse. Mit einem geeigneten firmeninterner Messenger ist zudem die erforderliche Datenhoheit und -sicherheit gewährleistet.

Daran erkennen Sie den idealen Firmen-Messenger

Chat-Apps, die für eine sichere und DSGVO-konforme Unternehmenskommunikation geeignet sind und das Risiko von Schatten-IT entscheidend verringern, sind anhand folgender Merkmale zu erkennen:

• Ende-zu-Ende-Verschlüsselung: Nachrichten können nur auf den Endgeräten der Chat-Teilnehmer gelesen werden. Auch der Dienstbetreiber hat keine Möglichkeit, sie zu entschlüsseln.
• Open Source: Der Quellcode ist öffentlich zugänglich, wodurch die Funktionsweise des Messengers nachvollzogen und durch unabhängige Experten geprüft werden kann.
• Privacy by Design: Datensparsamkeit und Privatsphäre-Schutz wurden bereits bei der Konzeption der App berücksichtigt, sodass ein Datenmissbrauch von vornherein weitestgehend ausgeschlossen ist.
• Datenschutz-Konformität: Die Verwendung der Chat-App ist uneingeschränkt mit fortschrittlichen Datenschutzgesetzen wie der DSGVO vereinbar.
• Self-Hosting: Um hochsensible Daten und Unternehmensinformationen bestmöglich zu schützen, ist der Betrieb des Messengers auf einem firmeninternen Server erforderlich (On Premises). Bei allerhöchsten Sicherheitsanforderungen bietet ein geschlossener Nutzerkreis bestmöglichen Schutz.
• Administrierbarkeit: Verfügbarkeit eines Administrationsportals für die Vorkonfiguration der App und zur Einschränkung von Funktionen.
• Benutzerfreundlichkeit und Funktionsumfang: Auch die sicherste Chat-App ist wertlos, wenn Funktionsumfang und Benutzerfreundlichkeit nicht den Mitarbeiter-Ansprüchen entsprechen.